雖然JSP語言網(wǎng)站的已經(jīng)開始在互聯(lián)網(wǎng)里面盛行���,但目前依然很多的網(wǎng)站采取基于ASP和Access的架構(gòu)來組建的,并且很多采取在網(wǎng)上直接下載模板來構(gòu)建��。
由于ASP本身存在一些安全漏洞,稍不小心就可能給攻擊者提供可乘之機(jī)�。目前ASP+ACCESS網(wǎng)站的主要安全隱患來自Access數(shù)據(jù)庫的安全性,還有ASP網(wǎng)頁設(shè)計(jì)過程中沒有把很多關(guān)鍵詞進(jìn)行過濾����。故做好ASP網(wǎng)站的漏洞的檢測和防御很有必要性的。
一�、漏洞檢測
針對網(wǎng)站的漏洞檢測,我們需要一個網(wǎng)站漏洞檢測工具來幫忙檢測漏洞�。
在這采取最近挺流行的在線漏洞掃描工具——億思平臺。由于是億思是web應(yīng)用平臺����,我們只需要將網(wǎng)站提交上去掃描就可以,這樣可以省去在電腦上掃描的時間��。
簡單說一下操作����,首先通過賬號登錄其官網(wǎng)(http://www.)把要掃描的網(wǎng)站提交上去,里面有好幾種漏洞策略提供掃描的�����,為掃描更全面,選擇“ALL”就可以啦�����。掃描完就可以查看其網(wǎng)站的漏洞種類���。
二、 漏洞解析
1����、 用戶名與口令被破解
用戶名與口令,往往是攻擊者們最感興趣的東西���,如果被通過某種方式看到源代碼���,后果是嚴(yán)重的,我們的網(wǎng)站很快就會被攻擊者占據(jù)。
2���、 ASP上傳漏洞
有些網(wǎng)站允許用戶上傳文件����,但必需對這些上傳文件十分小心�����,為什么論壇程序被攻破后主機(jī)也隨之被攻擊者占據(jù)。原因就在于可能存在ASP木馬�����,它能把一個文件隨便放到你論壇的程序中�����,進(jìn)而整個網(wǎng)站被攻擊者占據(jù)���。
3����、 inc文件泄露問題
當(dāng)存在ASP的主頁正在制作且沒有進(jìn)行最后調(diào)試完成以前�,可以被某些搜索引擎機(jī)動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進(jìn)行查找�����,會得到有關(guān)文件的定位��,并能在瀏覽器中查看到數(shù)據(jù)庫地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié)����,并以此揭示完整的源代碼�。
4���、 特殊字符 輸入框是黑客利用的一個目標(biāo)����,他們可以通過輸入腳本語言等對用戶客戶端造成損壞��;如果該輸入框涉及數(shù)據(jù)查詢�,他們會利用特殊查詢語句����,得到更多的數(shù)據(jù)庫數(shù)據(jù),甚至表的全部���。因此必須對輸入框進(jìn)行過濾�。但如果為了提高效率僅在客戶端進(jìn)行輸入合法性檢查����,仍有可能被繞過。
5����、 Access數(shù)據(jù)庫的存儲隱患 在ASP+Access應(yīng)用系統(tǒng)中����,如果獲得或者猜到Access數(shù)據(jù)庫的存儲路徑和數(shù)據(jù)庫名�����,則該數(shù)據(jù)庫就可以被下載到本地�����。例如:對于網(wǎng)上書店的Access數(shù)據(jù)庫�����,人們一般命名為book.mdb���、store.mdb等�����,而存儲的路徑一般為“URL/database”或干脆放在根目錄(“URL/”)下��。這樣���,只要在瀏覽器地址欄中敲入地址:“URL/database/store.mdb”�����,就可以輕易地把store.mdb下載到本地的機(jī)器中�。
三�����、 防范對策
1���、 防止泄露源代碼 涉及用戶名與口令的程序最好封裝在服務(wù)器端�����,盡量少在ASP文件里出現(xiàn)�,涉及與數(shù)據(jù)庫連接的用戶名與口令應(yīng)給予最小的權(quán)限����。出現(xiàn)次數(shù)多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中���。如果涉及與數(shù)據(jù)庫連接����,在理想狀態(tài)下只給它以執(zhí)行存儲過程的權(quán)限,千萬不要直接給予該用戶修改�����、插入��、刪除記錄的權(quán)限����。
2����、 限制上傳文件格式為了防止ASP木馬被上傳到服務(wù)器,
3��、 加密inc文件程序員應(yīng)該在網(wǎng)頁發(fā)布前對它進(jìn)行徹底的調(diào)試還必需加固ASP文件以便外部的用戶不能看到它們�。首先對.inc文件內(nèi)容進(jìn)行加密����,其次也可以使用.asp文件代替.inc文件使用戶無法從瀏覽器直接觀看文件的源代碼����。inc文件的文件名不要使用系統(tǒng)默認(rèn)的或者有特殊含義容易被用戶猜測到的名稱���,盡量使用無規(guī)則的英文字母�����。
4�����、 屏蔽某些特殊的語名和字符在處理類似留言板����、BBS等輸入框的ASP程序中���,最好屏蔽掉HTML、JavaScript�����、VBScript語句,如無特殊要求�����,可以限定只允許輸入字母與數(shù)字���,屏蔽掉特殊字符��。同時對輸入字符的長度進(jìn)行限制�����。對輸入的字符不但要在客戶端進(jìn)行輸入合法性檢查�,同時要在服務(wù)器端程序中進(jìn)行類似檢查���。
